Sysrv-K Botnet
微软的研究人员揭示了 Sysrv 僵尸网络的一个新变种。跟踪为 Sysrv-K,这种新威胁配备了一组扩展的威胁能力。它在 Internet 上搜索存在各种安全问题的 Web 服务器。该威胁可以利用路径遍历、远程文件泄露和文件下载但破坏目标系统。 Sysrv-K 背后的网络犯罪分子还将新的漏洞纳入僵尸网络的全部内容,例如 CVE-2022-22947,这是一种影响 Spring Cloud Gateway 软件的远程代码执行。
部署后,Sysrv-K 将继续部署 Monero 加密矿工有效载荷。加密矿工是专门设计用于劫持被破坏设备的硬件资源并利用它们来挖掘特定加密货币的有害威胁。此外,Sysrv-K 僵尸网络可以从 WordPress 配置文件或其备份中检索数据库凭据。之后,威胁利用窃取的凭据来控制 Web 服务器。威胁的通信能力也得到了改进,包括使用电报作为通信渠道的能力。
同时,Sysrv-K 保留了扫描被破坏机器上的 SSH 密钥、IP 地址或主机名的能力。威胁试图通过 SSH 连接进一步传播需要此信息。
